Serviços de inventário de recursos para o VMware Engine

O Inventário de recursos do Cloud fornece serviços de inventário com base em um banco de dados de séries temporais que permite pesquisar, exportar e analisar metadados de recursos associados aos recursos integrados. O Inventário de recursos do Cloud é um serviço de inventário totalmente gerenciado em que é possível controlar o acesso aos dados do Inventário de recursos do Cloud até cada tipo de recurso e política. Assim, você aproveita a eficiência de um inventário centralizado e também alcança o privilégio mínimo quando necessário.

Os principais recursos do VMware Engine estão disponíveis por meio do a API Cloud Asset e também estão disponíveis na interface do Cloud Asset Inventory Identity and Access Management no console do Google Cloud. Os recursos da API Cloud Asset incluem:

Para esses recursos, a interface do Cloud Asset Inventory e a API Cloud Asset ativam os seguintes recursos:

  • Pesquisa e visibilidade: pesquise metadados do recurso, incluindo políticas do IAM associadas a ele, usando uma linguagem de consulta personalizada.

    • SearchAllResources: pesquisa todo o Google Cloud. recursos no escopo especificado, como projeto, pasta ou organização.
    • SearchAllIamPolicies: todas as pesquisas Políticas do IAM dentro do escopo especificado, como Projeto, pasta ou organização.
    • ListAssets: confira uma lista paginada dos recursos em um determinado carimbo de data/hora.
    • QueryAssets: emite um job que consulta recursos usando uma instrução SQL compatível com o BigQuery SQL.
    • Essas APIs também permitem que você use a Pesquisa global no Console do Google Cloud para encontrar recursos do VMware Engine. Use a barra de pesquisa global para procurar o nome de qualquer recurso do VMware Engine disponível pela API Cloud Asset. O recurso é exibido a lista de resultados.

    Para pesquisar recursos do VMware Engine ou políticas do IAM usando o console do Inventário de recursos do Cloud, faça o seguinte:

    1. Acesse a página Inventário de recursos no console do Google Cloud.

    Acessar o inventário de recursos

    1. Para definir o escopo da pesquisa, abra a caixa de lista Projetos na barra de menus e selecione a organização, a pasta ou o projeto a ser consultado.

    2. Selecione a guia Recurso ou Política do IAM.

    3. Em Filtrar resultados, marque a caixa ao lado dos filtros escolhidos.

    Os recursos ou políticas correspondentes à consulta são listados na tabela Resultado.

    Para visualizar a consulta como um comando da Google Cloud CLI, selecione Ver consulta.

    Para exportar os resultados, selecione Fazer o download do CSV.

  • Monitoramento e análise:é possível exportar todos os metadados do recurso em um determinado ou exportar o histórico de alterações de eventos durante um período específico. Além disso, você também pode monitorar as alterações de recursos assinando a assinatura em tempo real notificações.

    • ExportAssets: exporta recursos com tipos de tempo e recurso para um determinado local do Cloud Storage ou uma tabela do BigQuery.
    • BatchGetAssetsHistory: o lote recebe o histórico de atualizações dos recursos que se sobrepõem a uma janela de tempo.
    • Feed: um feed de recursos usado para exportar atualizações de recursos para um destino. Configure canais do Cloud Pub/Sub para receber atualizações em tempo real sobre qualquer alteração na configuração dos recursos, reduzir a frequência das exportações e alcançar o monitoramento contínuo.

    Para analisar quais políticas do IAM têm acesso a quais recursos do Google Cloud usando o console do Cloud Asset Inventory, faça o seguinte:

    1. No console do Google Cloud, acesse a página Policy Analyzer.

      Acessar a página "Análise de políticas"

    2. Na seção Analisar políticas, encontre o painel Consulta personalizada e clique em Criar consulta personalizada.

    3. No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. a Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.

    4. Escolha o recurso e o papel ou a permissão a serem verificados:

      1. No campo Parâmetro 1, selecione Recurso no menu suspenso.
      2. No campo Recurso, insira o nome completo do recurso em que você quer analisar o acesso. Se você não souber o nome completo do recurso, comece a digitar o nome de exibição do recurso e, em seguida, selecione-o na lista de recursos fornecida.
      3. Clique em Adicionar seletor.
      4. No campo Parâmetro 2, selecione Papel ou Permissão.
      5. No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
      6. Opcional: para verificar outros papéis e permissões, continue adicionando os seletores Papel e Permissão até que todos os papéis e as permissões que você quer verificar estejam listados.

    5. Opcional: clique em Continuar e selecione qualquer opções avançadas que você quer ativar para essa consulta.

    6. No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta inseridos e uma tabela de resultados de todas as principais com os papéis ou permissões especificados no recurso especificado.

    As consultas de análise de política no console do Google Cloud são executadas por até um minuto. Depois um minuto, o console do Google Cloud interrompe a consulta e exibe todos os dados resultados. Se a consulta não for concluída nesse período, o console do Google Cloud exibirá um banner indicando que os resultados estão incompletos. Para ver mais resultados para essas consultas, exportar o no BigQuery.

  • Análise de políticas do IAM: analise as APIs de política para encontrar quem tem acesso ao quê.

    • AnalyzeIamPolicy: analisa as políticas do IAM para responder quais identidades têm quais acessos em quais recursos.
    • AnalyzeIamPolicyLongrunning: analisa políticas do IAM de maneira assíncrona para responder quais identidades têm quais acessos em quais recursos e grava os resultados da análise em um destino do Cloud Storage ou do BigQuery.

A seguir